I
(Resolutioner, rekommendationer och yttranden)
YTTRANDEN
EUROPEISKA DATATILLSYNSMANNEN
Yttrande från Europeiska datatillsynsmannenom förslaget till förordning om saluföring och användning av sprängämnesprekursorer
(2011/C 101/01)
EUROPEISKA DATATILLSYNSMANNEN HAR AVGETT DETTA YTTRANDE
med beaktande av fördraget om Europeiska unionens funktions
sätt, särskilt artikel 16,
med beaktande av Europeiska unionens stadga om de grund
läggande rättigheterna, särskilt artiklarna 7 och 8,
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter ( 1 ),
med beaktande av begäran om ett sådant yttrande i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinsti
tutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter ( 2 ),
HÄRIGENOM FRAMFÖRS FÖLJANDE
I. INLEDNING
1. Den 20 september 2010 antog kommissionen ett förslag till förordning om saluföring och användning av spräng
ämnesprekursorer ( 3 ) (nedan kallat förslaget). Den 11 november 2010 skickades det förslag som kommissio
nen antagit till Europeiska datatillsynsmannen för samråd enligt artikel 28.2 i förordning (EG) nr 45/2001. Datatill
synsmannen välkomnar samrådet och hänvisningen till detta i skälen till förslaget.
2. De föreslagna åtgärdernas främsta syfte är att minska risken för attacker från terrorister eller andra brottslingar som använder sig av hemmagjorda sprängladdningar. Förord
ningen medför därför en begränsning av allmänhetens till
gång till vissa kemikalier som kan missbrukas som prekur
sorer för hemmagjorda sprängämnen. Genom förslaget förstärks också kontrollen av försäljningen av sådana kemi
kalier genom rapportering av misstänkta transaktioner och stölder.
3. Med detta yttrande vill Europeiska datatillsynsmannen upp
märksamma lagstiftarna på ett antal relevanta uppgifts
skyddsfrågor och utfärda rekommendationer för att garan
tera den grundläggande rätten till skydd av personuppgifter.
II. ANALYS AV FÖRSLAGET OCH RELEVANTA UPPGIFTS
SKYDDSFRÅGOR
1. Kommissionens föreslagna åtgärder
4. I förslaget behandlas problemet med att vissa kemikalier som är tillgängliga för allmänheten på marknaden kan missbrukas som prekursorer för hemmagjorda spräng
ämnen. Artiklarna 4 och 5 handlar om ett förbud mot försäljning till allmänheten, vilket kombineras med ett till
ståndssystem och ett krav på att alla transaktioner som görs inom ramen för tillstånd ska registreras. I artikel 6 krävs att ekonomiska aktörer ska rapportera misstänkta transaktio
ner och stölder. I artikel 7 behandlas slutligen behovet av uppgiftsskydd.
Artiklarna 4 och 5: Förbud mot försäljning, tillstånd och registrering av transaktioner
5. Försäljning till allmänheten av vissa kemikalier över fast
ställda gränsvärden för koncentration kommer att förbju
das. Kemikalier med högre koncentrationer ska endast få säljas till användare som kan dokumentera ett legitimt be
hov.
( 1 ) EGT L 281, 23.11.1995, s. 31.
( 2 ) EGT L 8, 12.1.2001, s. 1.
( 3 ) KOM(2010) 473.
6. Förbudet gäller endast en kort förteckning över kemiska ämnen och blandningar av dessa (se bilaga I till förslaget), samt försäljning av dessa ämnen till allmänheten Restrik
tionerna gäller inte professionella användare eller i trans
aktioner mellan företag. Allmänhetens tillgång till de äm
nen som finns med i förteckningen är bara begränsad om de överstiger vissa gränsvärden för tillåtna koncentrationer.
Dessa ämnen kan fortfarande fås mot uppvisande av myn
dighetstillstånd (som bevisar legitim användning). Slutligen gäller ett undantag för jordbrukare som utan tillstånd tillåts införskaffa ammoniumnitrat för användning som gödsel
medel, oavsett gränsvärdet för koncentration.
7. Tillstånd ska även krävas om en enskild person avser att importera de förtecknade ämnena till EU.
8. En ekonomisk aktör som tillhandahåller ett ämne eller en blandning till en enskild person som har ett tillstånd ska förvissa sig om att tillståndet är giltigt och registrera trans
aktionen.
9. Varje medlemsstat ska fastställa regler för beviljande av till
stånd. Den behöriga myndigheten i medlemsstaten ska av
slå ansökan om tillstånd om det finns rimliga skäl att betvivla att den avsedda användningen är legitim. Beviljade tillstånd ska gälla i samtliga medlemsstater. Kommissionen kan utarbeta riktlinjer om tekniska detaljer i tillstånden för att underlätta det ömsesidiga erkännandet av tillstånd.
Artikel 6: Rapportering av misstänkta transaktioner och stölder 10. Försäljningen av ett större antal av kemikalier som ger
anledning till oro (vilka förtecknas i bilaga II, utöver de som företecknas i bilaga I och som redan kräver tillstånd) kommer att omfattas av kravet på rapportering av miss
tänkta transaktioner och stölder.
11. I förslaget krävs att varje medlemsstat ska inrätta en natio
nell kontaktpunkt (med tydligt angivet telefonnummer och en e-postadress) för rapportering av misstänkta transaktio
ner och stölder. Ekonomiska aktörer ska omedelbart rap
portera varje misstänkt transaktion eller stöld, och om möj
ligt ange kundens identitet.
12. Kommissionen ska utarbeta och uppdatera riktlinjer för att ekonomiska aktörer lättare ska kunna upptäcka och rap
portera misstänkta transaktioner. Riktlinjerna ska även om
fatta regelbundna uppdateringar av en förteckning över ämnen utöver de som finns med i bilagorna I och II, och för vilka en frivillig rapportering av misstänkta transaktio
ner och stölder uppmuntras.
Artikel 7: Uppgiftsskydd
13. I skäl 11 och artikel 7 krävs att den behandling av person
uppgifter som sker genom tillämpning av denna förordning ska vara förenlig med EU:s uppgiftsskyddslagstiftning, sär
skilt direktiv 95/46/EG ( 4 ), och nationell uppgiftsskyddslag- stiftning om genomförande av detta direktiv. Förslaget in
nehåller inga ytterligare bestämmelser avseende uppgifts
skydd.
2. Mer utförliga bestämmelser krävs för att säkra ett tillfredsställande personuppgiftsskydd
14. Skyldigheten att rapportera misstänkta transaktioner och stölder, samt det tillstånds- och registreringssystem som föreskrivs i förordningen kräver behandling av personupp
gifter. Detta medför – åtminstone i viss utsträckning – ett intrång i privatlivet och i rätten till skydd för personupp
gifter, varför det krävs tillräckliga skyddsåtgärder.
15. Europeiska tillsynsmannen välkomnar att förslaget innehål
ler en separat bestämmelse (artikel 7) om uppgiftsskydd.
Denna enda – och mycket generella – bestämmelse i för
slaget är emellertid otillräcklig för att på ett tillfredsställande sätt tillgodose de krav på uppgiftsskydd som följer av de föreslagna åtgärderna. Det beskrivs heller inte tillräckligt utförligt i de berörda artiklarna (artiklarna 4, 5 och 6) exakt vilken typ av uppgiftsbehandling som det kan bli fråga om.
16. När det gäller frågan om tillstånd kräver förordningen till exempel att ekonomiska aktörer ska registrera transaktioner som sker inom ramen för tillstånd. Det sägs emellertid inte vilka personuppgifter som ska registreras, hur länge de ska lagras, vem som kan få tillgång till dem och på vilka vill
kor. Det sägs inte heller vilka uppgifter som ska samlas in i samband med behandling av ansökningar om tillstånd.
17. När det gäller kravet på rapportering av misstänkta trans
aktioner och stölder fastställs ett rapporteringskrav i försla
get, men det anges inte närmare vad som utgör en miss
tänkt transaktion, vilka personuppgifter som ska rappor
teras, hur länge de rapporterade uppgifterna ska lagras, vem som kan få tillgång till dem och på vilka villkor.
Förslaget innehåller inte heller några närmare bestämmelser om de ”nationella kontaktpunkter” som ska utses, om even
tuella databaser som dessa kontaktpunkter kan upprätta i medlemsstaterna, eller om eventuella databaser som kan upprättas på EU-nivå.
18. Ur uppgiftsskyddssynpunkt är det insamlingen av uppgifter om misstänkta transaktioner som är den mest känsliga frågan i förslaget. De relevanta bestämmelserna bör förtydli
gas för att se till att behandlingen av uppgifter är propor
tionerlig och för att förhindra missbruk. För att uppnå detta bör det fastställas tydliga villkor för uppgiftsbehandling och tillräckliga skyddsåtgärder.
( 4 ) Citerat i fotnot 1.
19. Det är viktigt att uppgifterna inte används för något annat syfte än för bekämpning av terrorism (och annan brotts
lighet som innebär att kemikalier används för hemmagjorda sprängladdningar). Uppgifter bör heller inte lagras under lång tid, särskilt om antalet personer som potentiellt eller faktiskt får tillgång till dem blir stort, och/eller om upp
gifterna används för datautvinning. Detta är särskilt viktigt i fall där det visar sig att den ursprungliga misstanken var grundlös, då det måste krävas särskilda skäl för att lagra uppgifterna under längre tid. Europeiska datatillsynsmannen vill i detta sammanhang till exempel hänvisa till domen från Europeiska domstolen för de mänskliga rättigheterna i målet S. och Marper mot Förenade kungariket (2008) ( 5 ), där det slogs fast att det var ett brott mot rätten till pri
vatliv enligt artikel 8 i Europeiska konventionen om mänskliga rättigheter att under lång tid lagra DNA-uppgif
ter om personer som inte har dömts för något brott.
20. Europeiska datatillsynsmannen rekommenderar därför att det i artiklarna 5, 6 och 7 i förslaget fastställs ytterligare och mer utförliga bestämmelser för att tillgodose dessa krav på ett tillfredsställande sätt. Nedan ges några specifika re
kommendationer.
21. Det bör vidare övervägas om kommissionen kan fastställa särskilda och mer utförliga bestämmelser i ett genomföran
debeslut i enlighet med artiklarna 10, 11 och 12 i förslaget om hur andra uppgiftsskyddsfrågor ska hanteras i prakti
ken.
22. Europeiska datatillsynsmannen rekommenderar slutligen också att kommissionens riktlinjer om misstänkta trans
aktioner och om tekniska detaljer i tillstånden ska innehålla ytterligare, särskilda bestämmelser om uppgiftsbehandling och uppgiftsskydd. Både dessa riktlinjer och ett eventuellt genomförandebeslut om uppgiftsskyddet bör antas efter samråd med datatillsynsmannen och – när det gäller ge
nomförandet på nationell nivå – med artikel 29-gruppen för skydd av personuppgifter. Detta bör tydligt förutses i själva förordningen, där det också tydligt bör anges vilka huvudfrågor som ska behandlas i riktlinjerna/genomföran
debeslutet.
3. Rekommendationer avseende utfärdande av tillstånd och registrering av transaktioner
3.1. Rekommendationer för artikel 5 i förslaget
Längsta lagringstid och kategorier av uppgifter som samlas in 23. Europeiska datatillsynsmannen rekommenderar att det i
artikel 5 i förordningen fastställs en längsta lagringstid (som preliminärt inte bör vara längre än två år) och vilka kategorier av personuppgifter som ska registreras (inga an
dra uppgifter än namn, tillståndsnummer och inköpta va
ror). Dessa rekommendationer grundas på principen om nödvändighet och proportionalitet, dvs. att insamling och
lagring av personuppgifter bör begränsas till vad som är absolut nödvändigt med hänsyn till de avsedda ändamålen (se artikel 6 c och 6 e i direktiv 95/46/EG). Om sådana närmare bestämmelser överlåts åt nationell lagstiftning eller praxis skulle det troligen leda till onödig ovisshet och till att liknande fall i praktiken behandlades på olika sätt.
Förbud mot insamling av ”särskilda kategorier av uppgifter”
24. Det bör i artikel 5 i förordningen dessutom uttryckligen förbjudas att ”särskilda kategorier av uppgifter” (enligt defi
nitionen i artikel 8 i direktiv 95/46/EG) samlas in och behandlas i samband med tillståndsförfarandet, t.ex. person
uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, samt religiös eller filosofisk övertygelse.
25. Detta bör även bidra till att garantera att sökande inte diskrimineras på grund av t.ex. ras, nationalitet eller politisk eller religiös tillhörighet. Europeiska datatillsynsmannen be
tonar i detta sammanhang att ett starkt uppgiftsskydd även bidrar till att bekämpa rasism, främlingsfientlighet och dis
kriminering, vilket i sin tur kan förhindra radikalisering och rekrytering till terrorism.
3.2. Rekommendationer avseende riktlinjer/genomföran
debeslut
Insamling av uppgifter under tillståndsförfarandet
26. I förordningen föreskrivs att en ansökan om tillstånd ska avslås om det finns rimliga skäl att betvivla att den till
tänkta användningen är legitim. Det skulle i detta samman
hang vara bra om det i riktlinjerna eller genomförande
beslutet angavs vilka uppgifter de tillståndsgivande myndig
heterna kan samla in i samband med behandlingen av ansökan om tillstånd.
Ändamålsbegränsning
27. Det bör i riktlinjerna eller genomförandebeslutet föreskrivas att endast behöriga brottsbekämpande myndigheter som utreder terroristverksamhet eller misstankar om annan brottslig användning av sprängämnesprekursorer bör få till
gång till uppgifterna. Uppgifterna får inte användas för an
dra ändamål (se artikel 6 b i direktiv 95/46/EG).
Information till den registrerade om registreringen av transaktio
ner (och om rapporteringen av misstänkta transaktioner) 28. Europeiska datatillsynsmannen rekommenderar dessutom
att det i riktlinjerna eller genomförandebeslutet fastställs att den tillståndsgivande myndigheten – som är bäst läm
pad att skicka ett sådant meddelande direkt till den regi
strerade – ska informera tillståndsinnehavare om att deras inköp kommer att registreras och kan komma att rappor
teras om de bedöms vara ”misstänkta” (se artiklarna 10 och 11 i direktiv 95/46/EG).
( 5 ) S. och Marper mot Förenade kungariket (4 december 2008) (Ansök
ningar nr 30562/04 och 30566/04).
4. Rekommendationer avseende rapportering av miss
tänkta transaktioner och stölder 4.1. Rekommendationer för artikel 6 i förslaget 29. Europeiska datatillsynsmannen rekommenderar att de na
tionella kontaktpunkternas roll och beskaffenhet förtydligas i förslaget. I punkt 6.33 i konsekvensanalysen sägs att dessa kontaktpunkter inte behöver vara ”brottsbekämpande myn
digheter” utan även kan vara ”sammanslutningar”. Det ges ingen närmare information om detta i lagstiftningshand
lingarna. Denna fråga bör särskilt förtydligas i artikel 6.2 i förslaget. Uppgifter bör i princip handhas av brottsbekäm
pande myndigheter och det bör finnas en mycket tydlig motivering om så inte är fallet.
30. I artikel 6 i förordningen bör det dessutom anges vilka personuppgifter som ska registreras (inga andra uppgifter än namn, tillståndsnummer, inköpta varor och skälen till misstanken). Dessa rekommendationer grundas på princi
pen om nödvändighet och proportionalitet, dvs. att insam
ling och lagring av personuppgifter bör begränsas till vad som är absolut nödvändigt med hänsyn till de avsedda ändamålen (se artikel 6 c i direktiv 95/46/EG). I detta sam
manhang gäller liknande överväganden som de som ut
trycks i punkt 23.
31. Det bör i artikel 6 i förordningen dessutom uttryckligen förbjudas att ”särskilda kategorier av uppgifter” (enligt defi
nitionen i artikel 8 i direktiv 95/46/EG) samlas in och behandlas i samband med rapporteringsförfarandet, t.ex.
personuppgifter som avslöjar ras eller etniskt ursprung, po
litiska åsikter, samt religiös eller filosofisk övertygelse (se även punkterna 24–25).
32. Det bör i artikel 6 slutligen fastställas en längsta lagringstid med hänsyn till de ändamål för vilka uppgifterna ska lagras.
Om en misstänkt transaktion eller stöld inte har lett till en särskild utredning, och denna fortfarande pågår, rekom
menderar Europeiska datatillsynsmannen att alla rappor
terade misstänkta transaktioner och stölder ska raderas från databasen efter en viss tid (preliminärt senast två år efter rapporteringstidpunkten). Detta bör bidra till att oskyl
diga inte ”svartlistas” eller förblir misstänkta under onödigt lång tid (se artikel 6 e i direktiv 95/46/EG) i fall där miss
tanken inte har kunnat styrkas (eller ens utretts vidare).
Alltför stora skillnader på denna punkt på nationell nivå bör under alla omständigheter undvikas.
33. Denna begränsning är även nödvändig för att garantera principen om uppgiftskvalitet (se artikel 6 d i direktiv 95/46/EG) och andra viktiga rättsliga principer, t.ex.
oskuldspresumtion. Detta kan inte bara leda till ett mer tillfredsställande skydd för enskilda individer, utan också göra det möjligt att på ett effektivare sätt inrikta brotts
bekämpningen på mer allvarliga fall, där det är troligt att misstankarna i slutändan kommer att styrkas.
4.2. Rekommendationer avseende riktlinjer/genomföran
debeslut
Kriterier för misstänkta transaktioner bör anges
34. Det anges inte i förslaget vilka transaktioner som kan vara
”misstänkta”. I artikel 6.6 a i förslaget förutses emellertid att kommissionen ska ”utarbeta riktlinjer […] och hålla dessa riktlinjer uppdaterade” samt tillhandahålla information om
”hur misstänkta transaktioner kan kännas igen och rappor
teras”.
35. Europeiska datatillsynsmannen välkomnar att det i förslaget krävs att kommissionen ska utarbeta riktlinjer. Dessa bör vara tillräckligt tydliga och konkreta för att inte kunna ges en alltför vid tolkning och därmed minimera överföringen av personuppgifter till brottsbekämpande myndigheter, samt förhindra en godtycklig eller diskriminerande praxis som baseras på t.ex. ras, nationalitet och politisk eller reli
giös övertygelse.
Ändamålsbegränsning, sekretess, säkerhet och tillgång
36. Det bör vidare fastställas i riktlinjerna/genomförande
bestämmelserna att informationen ska förvaras på ett säkert sätt och omfattas av sekretess, samt att endast behöriga brottsbekämpande myndigheter som utreder terroristverk
samhet eller annan misstänkt brottslig användning av sprängämnesprekursorer ska kunna få tillgång till den. In
formationen bör inte användas för andra ändamål, t.ex. för skatte- eller migrationsmyndigheters utredningar av ärenden som rör andra frågor.
37. Det bör i riktlinjerna/genomförandebeslutet även anges vem som ska ha tillgång till de uppgifter som mottas (och lag
ras) av de nationella kontaktpunkterna. Endast personer med behovsenlig behörighet bör ha eller få tillgång till uppgifter. Det bör även övervägas om en förteckning över tänkbara mottagare ska offentliggöras.
Den registrerades rätt att få tillgång till uppgifter
38. Det bör i riktlinjerna/genomförandebeslutet fastställas att den registrerade ska ha rätt till tillgång för att vid behov få uppgifter rättade eller raderade (se artiklarna 12–14 i direktiv 95/46/EG). En sådan rättighet – eller eventuella undantag i enlighet med artikel 13 – kan få betydande följder. Enligt de allmänna bestämmelserna har den registre
rade även rätt att få veta om hans/hennes transaktion har rapporterats som misstänkt. Ett (potentiellt) utövande av denna rättighet kan emellertid leda till att säljaren av sprängämnesprekursorer inte rapporterar köparens miss
tänkta transaktioner. Eventuella undantag bör därför tydligt motiveras och specificeras, helst i förordningen men under alla omständigheter i riktlinjerna/genomförandebeslutet. En möjlighet till prövning bör också förutses i samverkan med de nationella kontaktpunkterna.
5. Övriga kommentarer
Återkommande översyn av instrumentens verkningsfullhet 39. Europeiska datatillsynsmannen välkomnar att det i
artikel 16 i förslaget föreskrivs en översyn av förordningen [fem år efter antagandet]. Datatillsynsmannen anser defini
tivt att det genom en återkommande översyn måste påvisas att alla nya instrument fortfarande är verkningsfulla i be
kämpningen av terrorism (och annan brottslig verksamhet).
Europeiska datatillsynsmannen rekommenderar att det ut
tryckligen föreskrivs i förordningen att en sådan översyn ska avse förordningens verkningsfullhet och att även dess följder för de grundläggande rättigheterna, däribland upp
giftsskyddet, ska beaktas.
III. SLUTSATSER
40. Europeiska datatillsynsmannen rekommenderar ytterligare och mer utförliga bestämmelser i förslaget för att säkra ett tillfredsställande uppgiftsskydd. Kommissionens riktlinjer om misstänkta transaktioner och om tekniska detaljer i tillstånden – och ett eventuellt genomförandebeslut om uppgiftsskydd – bör även innehålla ytterligare, särskilda bestämmelser om uppgiftsbehandling och uppgiftsskydd.
Riktlinjerna (och ett eventuellt genomförandebeslut) bör antas efter samråd med Europeiska datatillsynsmannen och, i lämpliga fall, med artikel 29-gruppen bestående av företrädare för uppgiftsskyddsmyndigheter i medlemssta
terna.
41. Det bör i artikel 5 i förordningen fastställas en längsta lagringstid (som preliminärt inte bör vara längre än två år) för de registrerade transaktionerna och de kategorier av personuppgifter som ska registreras (inga andra uppgif
ter än namn, registreringsnummer och inköpta varor). Be
handling av särskilda kategorier av uppgifter bör uttryckli
gen förbjudas.
42. Kontaktpunkternas roll och beskaffenhet bör förtydligas i artikel 6 i förslaget. I samma bestämmelse bör det även fastställas en längsta lagringstid för de uppgifter som rap
porteras om misstänkta transaktioner (som preliminärt inte ska vara längre än två år) och de personuppgifter som ska registreras (inga andra uppgifter än namn, registrerings
nummer, inköpta varor och skälen till misstanken). Behand
ling av särskilda kategorier av uppgifter bör uttryckligen förbjudas.
43. Det bör i riktlinjerna/genomförandebeslutet vidare anges vilka uppgifter tillståndsgivande myndigheter får samla in i samband med behandling av ansökan om tillstånd. Det bör i dessa även fastställas en tydlig begränsning av de ändamål för vilka uppgifterna kan användas. Liknande be
stämmelser bör även gälla för registret över misstänkta transaktioner. Det bör i riktlinjerna/genomförandebeslutet anges att den tillståndsgivande myndigheten ska informera tillståndsinnehavare om att deras inköp kommer att regi
streras och kan komma att rapporteras om de bedöms vara
”misstänkta”. I riktlinjerna/genomförandebeslutet bör även anges vem som kommer att ha tillgång till de uppgifter som de nationella kontaktpunkterna mottagit (och lagrat).
Endast personer med behovsenlig behörighet bör ha eller få tillgång till uppgifter. Det bör i riktlinjerna/genomförande
beslutet även fastställas att den registrerade ska ha rätt till tillgång till uppgifter, och eventuella undantag bör tydligt specificeras och motiveras.
44. Det bör göras en återkommande översyn av de planerade åtgärdernas verkningsfullhet då även deras konsekvenser för privatlivet beaktas.
Utfärdat i Bryssel den 15 december 2010.
Peter HUSTINX Europeiska datatillsynsmannen